är Nordeas Internetsbank säkerhet en bluff?

[Branco]

Jag skulle logga in på Nordeas Internet bank och då insåg jag att krypteringen av sessionen inträffar först efter att jag matat in mina användaruppgifter(personnummer, personlig kod, engångskod) och trycker på 'logga in'.

 

Den första sidan är inte krypterat då man ser att det står http:// i adressfältet i webbläsaren. Jag förväntar mig att när jag klickar på "logga in privat" eller på "logga in företag" så borde säker krypterad överföring börja gälla direkt (https:// hyper text transport protokol secure) .

Jag märker till min förvåning att jag fortfarande står under http:// och uppmanas att mata in mina hemliga användaruppgifter.

Först när jag skickat iväg mina användaruppgifter loggas jag in på krypterad lina. (http://)

 

Nordea har istället valt att inte kryptera denna del då jag matar in mina användaruppgifter och skickar dem via Internet till deras server.

Eftersom mitt personnummer och personlig kod då kan snappas upp utan problem av en illasinnad hacker återstår bara engångskoden att gissa sig till. Det är att försvaga banksäkerheten. Vad jag hört så är det även möjligt att knäcker den 512 bitars kryptering som finns undrar jag hur Nordea vågar sig att sänka garden så pass mycket. Engångskod är en 4siffrig nummer mellan 1-9999. Om någon illasinnad klurar ut algoritmen för hur Nordea räknar fram engångskoden då är våra bankkonton till ammänt beskådande. När det gäller Föreningsparbanken så ser jag att de inte betet sig så amatörmässigt. Så fort du skall till inloggning startas en secure session och först därefter kan du mata in dina användaruppgifter.

 

Jag undrar om Nordea vet vad de gör eller litar de på att hackers inte kan knäcka deras 4 siffriga engångskod. Det skulle vara roligt att höra deras bort-förklaring för denna konstighet.

 

 

Med vänlig hälsning

 

 

Bratislav Stankovic

MCSE+I, CCNA, CNA, mm...

 

[Anjuna Moon]

Nordea har istället valt att inte kryptera denna del då jag matar in mina användaruppgifter och skickar dem via Internet till deras server.

Icke då, när formuläret postas, skickas det till https://gfs.nb.se/bin2/gfskod, dessutom är faktiskt formuläret hämtat via https, titta på adressen i frameset:et.

 

[inlägget ändrat 2005-09-12 17:00:09 av Anjuna Moon]

[fhe]

Vad jag hört så är det även möjligt att knäcker den 512 bitars kryptering som finns undrar jag hur Nordea vågar sig att sänka garden så pass mycket. Engångskod är en 4siffrig nummer mellan 1-9999

Vid sidan av vad Anjuna berättar för dig så är det där dessutom ett av de säkrare systemen som finns (biometriska lösningar undantagna, de är inte realistiska i sammanhanget). Framförallt för att det inte ligger någon algoritm bakom, det enda som finns är ett 50-tal giltiga slumpmässiga koder, du kan inte baserat på att du snappar upp en kod räkna ut någon annan. Koderna är helt oanvändbara tills dess att de aktiverats med en giltig kod från annat kort.

Allt du kan göra med en kod (förutsatt att du också kommit över personnummer och personlig kod) är en inloggning (inga transaktioner) samt skaffa dig vetskapen att du nu har tre försök på dig att hitta en av de giltiga koderna som återstår, maximalt 49 av 9998 (tänkbara kombinationer). I värsta fall kan du komma över saldouppgifter men för att komma åt dessa behöver du inte ens en engångskod, det räcker med personnummer och personlig kod.

Naturligtvis vet banken vilka koder som är giltiga, där finns en risk. Om banken har sådana säkerhetsproblem att den informationen kan läcka är det emellertid rätt troligt att den som behöver koderna klarar sig precis lika bra utan.

Som du säkert förstår är kopplingen mellan systemet med engångskoder och möjligheten att knäcka en 512-bitars kryptering som inte ändrar sig rätt liten.

 

Vill man "knäcka" systemet är nog det bästa att göra en lite bättre variant av det phising-försök som "drabbade" Nordea den 3:e oktober. Där försökte de lura av kunderna personnummer, personlig kod och två engångskoder, mer eller mindre sofistikerade sådana försök finns bara ett skydd mot och det är medvetenhet.

 

Jag undrar om Nordea vet vad de gör eller litar de på att hackers inte kan knäcka deras 4 siffriga engångskod. Det skulle vara roligt att höra deras bort-förklaring för denna konstighet.

Det skulle vara ännu intressantare att höra från dig varför du anser det vara osäkrare än alternativen.

 

[inlägget ändrat 2005-10-04 08:11:29 av fhe]